X

Actueel

Ik merk dat veel mensen wat zenuwachtig reageren op wet- en regelgeving zoals de Wet Meldplicht Datalekken en de Algemene verordening gegevensbescherming (AVG/GDPR). De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink vergroot worden door sancties van de overheid. Technisch gezien is er echter weinig veranderd. Je moet nog steeds je zaakjes op orde hebben. Het is niet zo dat er nu opeens andere soorten lekken mogelijk zijn. Het gaat nog steeds om de zelfde problemen met informatiebeveiliging als voorheen, alleen is er nu wetgeving over gevallen waarin die problemen leiden tot datalekken.

Welke kwetsbaarheden kunnen dan leiden tot een datalek? Alle kwetsbaarheden.

Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens, en verlies van (toegang tot) persoonsgegevens.

Dat is vrij ruim. Als ik een kwetsbaarheid vind in een systeem waarin persoonsgegevens worden verwerkt, dan kan je er van uit gaan dat misbruik van die kwetsbaarheid leidt tot een datalek.

Een voorbeeld: het blijkt dat een inlogpoging in een webapplicatie 42 milliseconden duurt met gebruik van een ongeldige gebruikersnaam en een ongeldig wachtwoord. Een inlogpoging met een ongeldig wachtwoord maar met een geldige gebruikersnaam kost echter steeds 128 milliseconden.

Door gebruik te maken van deze kennis kan ik brute force wachtwoordaanvallen versimpelen door eerst te zoeken naar geldige gebruikersnamen en daarna pas te zoeken naar geldige wachtwoorden. Dat is zo'n significante optimalisatie van mijn aanval dat het ineens een reële mogelijkheid wordt om op die manier toegang te krijgen tot een gebruikersaccount. Wanneer ik dan van de betreffende gebruiker persoonsgegevens kan inzien, is er al sprake van een lek. De ernstigheid ervan, en daarmee de bijbehorende sanctie, hangt af van de hoeveelheid en aard van gelekte gegevens. Het blijkt echter: "een datalek zit in een klein hoekje".

Gerelateerd

Bewust omgaan met je omgeving

Bewust omgaan met je omgeving

Weet jij wie er mee kan lezen of luisteren? Sta jij daar wel eens bij stil? Feit is dat we hier vaak...

Lees verder >
De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Lees verder >
Vest - Gold Sponsor ISSA

Vest - Gold Sponsor ISSA

Onlangs heeft Vest het golden sponsorschap bij het Nederlandse chapter van ISSA.org weer verlengd. G...

Lees verder >
OWASP top 10

OWASP top 10

Soms krijgen we de vraag om een OWASP top 10 test te doen. Maar die test bestaat niet...

Lees verder >
Handhaving AVG door Autoriteit Persoonsgegevens

Handhaving AVG door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens lijkt de AVG handhavingsstrategie te volgen die het had aangekondigd ...

Lees verder >
Website hardening tips

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en st...

Lees verder >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.